Анализ паролей пользователей ВКонтакте (поправка)

Как это часто бывает, поспешные выводы могут не учитывать некоторых деталей, которые в свою очередь приводят к некорректным умозаключениям. После комментария в предыдущем посте мне ничего не остается, как признать, что не заметил очевидных вещей – используемую парольную политику "ВКонтакте". А она следующая: "Пароль должен быть не менее 6 символов в длину и не должен состоять только из цифр, либо содержать недопустимые символы". Какие символы являются недопустимыми, можно только догадываться. Но, по всей видимости, это непечатные символы ASCII.

Анализ паролей пользователей ВКонтакте

Появилась новость о том, что по сети гуляют данные учетных записей более чем 130 тысяч пользователей социальной сети vkontakte.ru. Ваш покорный слуга не мог пройти стороной и также скачал себе экземплярчик этой базы, исключительно с целью проанализировать, насколько сильно разняться пароли, используемые нашими соотечественниками на публичных и корпоративных ресурсах.

NMAP наше всё

Приятное впечатление на меня сегодня произвело default syn-сканирование nmap'ом 5-ой ветки, который был зарелизен совсем недавно. Так выглядит скан сети /22 nmap версии 5:
# Nmap done: 1024 IP addresses (73 hosts up) scanned in 67.75 seconds

Аналогичный скан nmap версии 4.76:
# Nmap done: 1024 IP addresses (73 hosts up) scanned in 2012.50 seconds

То есть, скорость дефолтового сканирования увеличилась на 97%. Подобное быстродействие не может не впечатлять. Ну а какова цена такой производительности? Сравнив модной тулзой ndiff (входящей в состав nmap 5.x) два скана и подсчитав результаты, было получено, что 5% открытых портов пропущено последней версией nmap. Для многих целей, подобная цифра будет приемлемой, потому впечатление от последнего релиза сетевого сканера небольшой процент false positive ничуть не испортил.

7 zero-day (code exec) в продуктах Adobe, кто больше?

В последнее время посещают паранормальные очучения, при виде файлов в формате pdf:)) Коллеги из VUPEN основательно потрудились для того, чтобы использование всех творений Adobe на моем компутере не покидало пределов изолированной среды под vm:


С другой стороны, начинаю задумываться о том, что изолированная среда вовсе не выход, а стоит покупать второй ноут;)
http://www.microsoft.com/technet/security/bulletin/MS07-049.mspx
http://www.vupen.com/english/advisories/2007/2873
http://lists.vmware.com/pipermail/security-announce/2009/000055.html
http://communities.vmware.com/thread/209319
Immunity CANVAS Professional 6.47 (CVE-2009-1244): http://www.immunitysec.com/news-latest.shtml

Немного полезных ссылок по анализу защищенности Web-приложений

Web Application Security Consortium (WASC):
Текущая классификация уязвимостей Web WASC WSTCv2 - http://projects.webappsec.org/Threat-Classification-Working
Оф. сайт - http://www.webappsec.org/
Международная статистика уязвимостей - http://www.webappsec.org/projects/statistics/

Open Web Application Security Project (OWASP):
OWASP Testing Guide V 3.0 - http://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents
TOP 10 наиболее распространенных уязвимостей в Web - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Из дополнительных вкусностей - болванки сигнатур для статического анализа кода, подборка утилит (1,2) для проведения различного поиска уязвимостей в Web-приложениях.

Positive Technologies:
Российская статистика уязвимостей – 2008, 2007, 2006

Возвращаясь к анализу слабых паролей

Давно засело в голове провести имеющиеся наборы паролей по комбинациям соседних символов на клавиатуре, содержащихся в файле "Combinations.txt", который поставляется совместно с дистрибутивом InsidePro PasswordsPro. Желание мотивировано в первую очередь в получении оценки эффективности использования подобных комбинаций, например, при проведении пентеста. Результаты получены следующие:


Еще один 0day с Adobe

Уязвимостями нулевого дня в продуктах компании Adobe уже ни кого не удивишь:) Они появляются и исчезают вновь и вновь. Несчастная Adobe даже предлагает пользователям установить уязвимую сборку Adobe Reader. Видимо не успевают пересобрать свой продукт под напором активных багоискателей и компаний ресерчеров. И вот он снова – первый день нулевого дня с Adobe;)


Зачем нужен пентест?

Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно и метод "кувалды" никто не отменял;)), а в использовании результатов подобных работ для совершенствования системы управления информационной безопасностью (далее - СУИБ). Безусловно, этого удается достигнуть только при правильной интерпретации полученных данных и при отработке широкого охвата возможных и наиболее реализуемых вариантов атаки. Под "правильной" интерпретацией результатов пентеста нужно понимать, что помимо оперативного устранения уязвимостей Заказчику подобных услуг следует также осуществить выстраивание процессов СУИБ таким образом, чтобы предотвратить их появление в дальнейшем.

Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых действий потенциальным злоумышленником, в условиях, максимально приближенных к реальности. Это позволяет выяснить, где безопасность работает хуже, а где лучше, выявить наиболее уязвимые места в информационной системе, причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом.

Подборка ресурсов для проведения оценки средств поиска и эксплуатации уязвимостей

Сборки виртуальных машин:
– Широко известный дистрибутив DVL (Damn Vulnerable Linux), не требующий комментариев
– Сборка Moth, содержащая наборы уязвимых сценариев Web-приложений. Авторы предполагают использование своего творения под цели:
  • Проведения тестирования сканеров Web уязвимостей;
  • Тестирование статических и динамических анализаторов;
  • Использование дистрибутива при проведении соответствующего учебного курса.
- Сборка от OWASP - OWASP Broken Web Applications Virtual Machine (VM)
- Сборка Web Security Dojo - http://sourceforge.net/projects/websecuritydojo/
- Сборка Damn Vulnerable Web App (DVWA)
- Сборка от Google - Web Application Exploits and Defenses

Stand-alone сборки уязвимых Web-приложений:
OWASP SiteGenerator
OWASP WebGoat
OWASP Vicnum
OWASP InsecureWebApp
Stanford SecuriBench
SecuriBench Micro
Mutillidae
ButterFly
HacmeBank
BadStore

Древние сборки реальных приложений (в частности WEB):
- http://www.oldapps.com/

Подборка аналогичных online-ресурсов:
– Тестовые сайты от Acunetix (PHP, ASP, ASP.NET)
- Тестовый сайт от NT OBJECTives
- Тестовый сайт от SPI Dynamics (теперь уже от HP)
- Тестовый сайт от компании IBM
- И тестовый сайт от Cenzic

Юридическая сторона пентеста

На днях в блоге компании InfoWatch обсуждалась интересная тема для пентестеров: "Насколько безопасным с юридической точки зрения (ст.273 УК РФ) является использование «специальных» программ при проведении пентеста?".

Тот факт, что владелец информации и оператор ИС дал своё согласие на проведение атаки освобождает пентестера от ответственности по ст.272 УК, но никак не влияет на квалификацию действий пентестера по ст.273 УК. То есть, "вредоносные программы вне закона всегда".

Sniffing по электросети

Не перестаю удивляться, насколько порой мышление хакеров может быть нестандартным и оригинальным. На этот раз под прицелом оказались нотебуки, подключенные к обычной розетке 220В (кто бы мог подумать;)). Атака, направленная на перехват нажатия клавиш на ноуте, подключенного к обычной электросети, получил название – "power-line exploit". Про данную технику будет подробно рассказано на конференции Black Hat USA 09, ну а все интересующиеся с материалами могут ознакомиться уже сейчас (здесь).

Источник: www.xakep.ru

Появился zero-day к OpenSSH?

Интернет пестрит сообщениями о том, что сплоит под OpenSSH, который был выложен на Milw0rm и демонстрировал отказ в обслуживании демона (proof-of-concept), был переписан хакерской группой "anti-sec" уже с целью получения рутовой консоли. Использование эксплоита под предыдущие версии демона было официально подтверждено (рекомендую всем патчиться;)).

Возможно "утка", но появилось сообщение от SANS, что в прошлую пятницу зафиксировано использование zero-day, выполняющего аналогичные действия по получению рута через OpenSSH. Эксплуатация была произведена на последней версии демона.

Потому, всем параноикам рекомендую закрыть ssh файрволом, как лекарство от лишних угроз:)

Ссылки по теме:
http://romeo.copyandpaste.info/txt/nowayout.txt
http://security-sh3ll.blogspot.com/2009/07/openssh-0day.html
http://seclists.org/fulldisclosure/2009/Jul/0028.html
http://www.securityaegis.com/?p=445

milw0rm прекращает свое существование

Один из самых популярных порталов в интернете по эксплоитам прекращает свою работу. Вот такое прощальное послание было опубликовано сегодня администратором сайта str0ke на заглавной странице:


Что тут еще можно добавить? Достойных ресурсу milw0rm в настоящее время попросту нет. Остается только надеяться, что придут новые люди, которые не дадут проекту загнуться в одночасье. Ну а пока, сайт milw0rm.com недоступен.

Источник: securitylab.ru

Безопасность языком цифр #6

Для чего нужны различного рода метрики? Для того, чтобы можно было оценить текущее состояние, например, своей информационной системы со средними показателями других систем. Что это нам дает? Как минимум позволяет наметить курс действий (где мы находимся?; насколько у нас лучше или хуже, чем у других?), как максимум увидеть процент соответствия, с какими-либо промышленными стандартами или "лучшими практиками" (best practice) и отслеживать динамику состояния защищенности своей информационной системы.

Приведу пример. У нас имеется метрика, что 40% паролей можно взломать из-за простоты, а в Компании не используется каких-либо превентивных мер в отношении противодействия атакам удаленного подбора паролей и при этом имеются внешние сервисы, использующие однофакторную аутентификацию с использованием парольной фразы (Mail, Web-сервисы, SAP, VPN, etc.). Таким образом, угроза, связанная с компрометацией паролей пользователей, должна получить высокий уровень опасности в качественной модели управления рисками.